风险管理审计.ppt

第十章风险管理审计,一、企业风险管理审计概述,（一）风险及风险管理1.风险定义：是指影响组织目标实现的各种不确定性事件。包括：内部风险和外部风险,A.外部风险是指外部环境中对组织目标的实现产生影响的不确定性。影响外部风险的主要因素：国家法律法规变化、经济环境变化、科技发展、行业竟争、意外等B.内部风险是指内部环境中对组织目标的实现产生影响的不确定性。影响因素：治理结构、组织特点、信息系统、职业道德、业务素质等,2.风险管理的定义：是对影响组织目标实现的各种不确定性事件进行识别与评估，并采取应对措施将其影响控制在可接受范围内的过程。风险管理的目的：为了将风险控制在可接受的范围内；（风险的可接受范围取决于组织对风险的态度）,（二）风险管理的范围包括：组织整体及职能部门两个层面。1.低层目标的实现是高层目标实现的基础。2.不同层面的风险管理的责任在于不同的管理层。,（三）风险管理的三个阶段1.风险识别：根据组织目标、战略规划等识别所面临的风险。组织目标：战略目标、经营目标、各职能部门的目标、岗位目标等。风险的识别应根据不同层次的目标分别进行，在整个组织的各层次都要进行。识别的风险可能会影响组织整体层，也可能仅影响单个职能部门。,2.风险评估对已识别的风险，评估其发生的可能性及影响程度。风险评估针对两方面进行：（必须同时进行评估）（1）风险发生的可能性；（2）风险的影响程度。风险评估是做出恰当的风险应对决策的基本前提。,3.风险应对采取应对措施，将风险控制在组织可接受的范围内。应对措施根据风险的严重程度有针对性地进行。（1）采取措施，降低风险；（2）不采取措施，接受风险。采取应对措施应考虑成本效益原则。,（四）内部审计与风险管理的关系1.内部审计是一种独立、客观的保证和咨询活动。其目的是在于为组织增加价值和提高组织的运作效率。它通过系统化和规范化的方法，评价和改进风险管理、控制及治理过程的效果，帮助组织实现其目标。2.内部审计介入风险管理的主要原因：内部审计机构有独特的位置；内部审计师更了解组织的高风险领域；内部审计师对于组织目标的实现有更强的责任感。,3.内部审计在风险管理中的作用检查与评价管理与协调顾问与咨询报告与防范,（五）组织管理层和内部审计人员在风险管理中的职责1、组织管理层：负责确定可接受的风险范围，建立、健全风险管理机制并使之有效运行。组织管理层对待风险的态度直接决定了风险管理的程度。可接受的风险范围由组织管理层根据组织特点、其自身经营理念及管理思想、组织文化等因素确定的。,2、内部审计机构和人员：应当充分了解组织的风险管理过程，审查和评价其适当性和有效性，并提出改进建议。,（六）企业风险管理审计目标1、总目标：审计部门和审计人员按照组织风险管理方针和策略的部署，以风险管理目标为标准，审核被审计部门在风险识别、评价和管理等方面的合理性和有效性，在损失可能发生之前作出最有效的安排，或使损失降到最小，帮助组织实现预期目标。2、具体目标：包括一般审计目标和项目审计目标。一般审计目标是所有项目必须达到的目标；项目审计目标是某一特定项目所要达到的目标。,（七）企业风险管理审计的特点1.审计思路和观念发生根本性转变2.工作重心开始转移3.方法更加科学、先进4.目的更加明确,二、企业风险管理框架,企业风险管理框架（ERMF）是反映风险管理过程和内容的程序图。包括：澳大利亚-新西兰联合委员会的AS/NZE4360、加拿大标准委员会模型、DavidMcNamee模型、COSO模型、IIA研究基金的ERM框架、2004COSO-ERM模型等,（一）澳大利亚-新西兰联合委员会的AS/NZE4360,（二）COSO模型,建立组织目标,评估风险,确定需要的控制,识别、测评、排序风险,（三）IIA研究基金的ERM框架,评估风险1.识别风险因素2.排序3.归类4.简要描述风险机会,整合风险数量影响减轻风险财务方法,探究风险分析机会制定计划实施,保持向前1.监测变化风险因素环境组织2.必要时重新进行以前的步骤,（四）安达信信息技术风险管理框架,确定管理目标,经营风险评估识别、探究、辨别、测评,制定经营风险管理战略,改善经营风险管理过程,规避、消除、转移、接收,制定或实施风险管理、监控程序,经营风险实施效果测试,决策信息,（五）中央企业全面风险管理指引的企业风险管理框架,收集风险管理初始信息,进行风险评估,制定风险管理策略,提出和实施风险管理,风险管理的监督和改进,风险管理文化融合,组织体系构建,三、风险管理审查与评价,（一）风险的审查和评价1.确定风险范围，制定风险评价标准2.识别特定范围的风险环境风险过程风险信息风险,3.分析风险风险分析目标风险分析的程序和内容风险征兆的捕捉方法：寿命周期法、SWOT法、盈亏临界点法、DCCS法、财务会计与统计指标法、“五率”衡量法等,（二）风险评估方法1.定量方法，如蒙特卡罗方法2.定性方法风险坐标图,四、企业风险管理审计,（一）风险管理机制的审查与评价1.审查组织机构的健全性2.审查风险管理程序的合理性3.审查风险预警系统的存在及有效性（二）风险识别的适当性及有效性审查1.审查风险识别原则的合理性2.审查风险识别方法的适当性,（三）风险评估方法的适当性及有效性1.审查风险评估方法重点考虑以下因素：已识别的风险的特征；相关历史数据的充分性与可靠性；管理层进行风险评估的技术能力；成本效益的考核与衡量其他,2.评价风险评估方法适当性和有效性应遵循原则定性方法的采用需要充分考虑部门或人员的意见，以提高评估的客观性。在风险难以量化、定量评价所需数据难以获取时，一般应采取定性方法定量方法一般情况下会比定性方法提供更为客观的评估结果。,（四）风险应对措施适当性和有效性审查1.风险应对的审查与评价回避：采取措施避免进行可产生风险的活动。接受：由于风险已在组织可接受的范围内，可不采取任何措施。降低：采取适当措施将风险降低到组织可接受的范围内。分担：采取措施将风险转移给其他组织或保险机构。通常：对1级风险回避或降低；对2级或3级风险降低或分担；对4级风险接受,2.评价风险应对措施时应考虑的因素采取风险应对措施后的剩余风险水平是否在组织可以接受的范围之内；采取